SBS 2011 und Zertifikate


Veröffentlicht von MOS-Computer GbR am 27.02.2013

 

 

Problem:

Sie betreiben einen SBS 2011 mit einem selbstsigniertem Zertifikat (z.B. weil der Server nur intern betrieben wird). Das erstellte (Webserver) Zertifikat hat eine Gültigkeitsdauer von 2 Jahren und steht vor dem Ablauf.

Im Systemprotokoll erhalten Sie u.a. folgende Meldungen:

 

  • MSExchangeTransport (12018): Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: <Domain>, Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx. Führen Sie das Cmdlet ''New-ExchangeCertificate'' aus, um ein neues Zertifikat zu erstellen.
  • MSExchangeTransport (12017): Ein internes Transportzertifikat läuft in Kürze ab. Fingerabdruck: <Schlüssel>, verbleibende Stunden: xxx

Das Zertifikat stammt vom Webserver (IIS) und ist u.a. für OWA zuständig.

 

 

Lösung:

Um das Zertifikat für weitere zwei Jahre zu erneuern und im kompletten SBS 2011 synchronisiert zu bekommen, gehen Sie wie folgt vor:

 

  • Öffnen Sie die SBS 2011 Konsole
  • Gehen Sie dort auf Netzwerk und wählen Sie den Punkt Konnektivität
  • Führen Sie unter Tasks den Punkt Internetadresse einrichten aus
  • Lassen Sie den Wizard durchlaufen und tragen Sie die gleichen Daten wie zuvor ein
  • Warten Sie, bis der Wizard fertig ist (kann einige Zeit dauern)
  • Wenn der Wizard fertig ist und Sie nun das Zertifikat doppelt klicken, sollte dort der neue Gültigkeitszeitraum zu sehen sein (ab heute / bis in zwei Jahren)

Danach können Sie Ihren SBS 2011 wie gewohnt weiter verwenden.

 

 

Nachtrag:

Sollte Sie danach im Protokoll weiterhin Meldungen haben, dass das Zertifikat abgelaufen, oder nicht mehr gültig ist, machen Sie am besten folgendes:

 

  • Löschen Sie zunächst in der Exchange Management Konsole das abgelaufene Zertifikat
  • Öffnen Sie danach die zentrale Zertifikatverwaltung und sperren Sie das abgelaufene Zertifikat.

Durch die Sperrung haben Sie zusätzlich alles besser im Überblick.

 

 

Variante 2:

Wenn Sie den Einrichtungswizard nicht nutzen wollen, oder falls es dort zu einem Problem kam, können Sie versuchen die Zertifikate auch direkt über den IIS zu erneuern. Hierfür gehen Sie wie folgt vor:

 

  • Im Menü Verwaltung öffnen Sie dem Internetinformationsdienste (IIS)-Manager
  • Wählen Sie links Ihren Server aus (Domainserver)
  • Rechts daneben (im Fenster mittig) sehen Sie nun diverse Symbole. Wählen Sie unterhalb von IIS den Punkt Serverzertifikate aus.
  • Im darauf folgenden Fenster sehen Sie nun eine Übersicht aller Zertifikate. Wählen Sie hier nun das entsprechende Zertifikat aus! Achten Sie dabei auf Ablaufdatum und Fingerabdruck (Zertifikathash), damit Sie auch das richtige Zertifikat gewählt haben.
  • Wählen Sie nun über das Aktionsmenü rechts, oder über das Kontextmenü der rechten Maustaste den Punkt Erneuern aus
  • Wählen Sie den Punkt Vorhandenes Zertifikat erneuern aus, klicken Sie auf weiter und im nächsten Fenster auf Auswahl. Wählen Sie dort nun Zertifizierungsserver (Ihr Server) aus und klicken Sie auf Fertig.

Das Zertifikat sollte nun erneuert werden, was Sie direkt am neuen Ablaufdatum und dem neuen Hashwert sehen. Prüfen Sie dies aber bitte zusätzlich durch die Zertifizierungsstelle (unter Verwaltung), sowie innerhalb der Exchange-Verwaltungskonsole (unter Serverkonfiguration).

Damit die Zuweisungen für Remote Web und diverse Dienste noch stimmen, müssen Sie ggf. im Anschluss noch in der SBS Konsole unter Konnektivität das Webserverzertifikat, welches Sie verlängert haben, neu hinzufügen. Der Assistent regelt bei Bedarf dann den Rest.

 

 

Hinweis:

Sollte sich das Zertifikat nicht verlängern lassen (Anforderung abgelehnt o.ä.), bzw. nach der Verlängerung/Erneuerung der Zeitraum ungewöhnlich kurz sein, so müssen Sie ggf. zunächst das Zertifizierungsstellenzertifikat erneuern:

 

  • Im Menü Verwaltung öffnen Sie die Zertifizierungsstelle
  • Wählen Sie Ihre Zertifizierungsstelle
  • Klicken Sie sie mit der rechten Maustaste an und wählen Sie Alle Aufgaben > Zertifizierungsstellenzertifikat erneuern
  • Sollte nicht ein zwingender Grund vorliegen, können Sie den alten Signaturschlüssel behalten (nein anwählen)
  • Zertifikat erneuern lassen

Danach können Sie mit den obigen Schritten fortfahren.

 

 

 

Das könnte Sie vielleicht auch interessieren:

 



Zurück